2025/08/17 CyberSecurityNews — Elastic の EDR (Endpoint Detection and Response) ソリューションに存在するゼロデイ脆弱性が、Ashes Cybersecurity の調査により発見された。この脆弱性を悪用する攻撃者は、セキュリティ対策を回避した上で悪意のコード実行を達成し、BSOD (Blue screen of death) システム・クラッシュを引き起こす可能性を手にする。この脆弱性は、セキュリティ・ソフトウェアのコア・コンポーネントに存在し、防御のためのツールを、保護対象システムへの攻撃手段に変貌させてしまう。
この重大な欠陥は、Elasticsearch が開発し、Microsoft により署名された、カーネル・ドライバ elastic-endpoint-driver.sys に発見されている。このドライバは、Elastic Defend/Elastic Agent セキュリティ・ソリューションの基盤である。
この脆弱性を発見した研究者は、それを悪用してシステムを完全に侵害する、攻撃チェーンの詳細を説明している。
この攻撃は EDR バイパスから始まり、カスタム・ローダーを用いて Elastic のセキュリティ保護を回避していく。EDR の無効化を達成した攻撃者は、システム上での検知やブロックを受けずに悪意のコード実行を達成するため、リモート・コード実行 (RCE) へと進んでいく。
続いて、脆弱な Elastic ドライバと連携する、カスタム・カーネル・ドライバを仕掛けて永続性を確立する。最終的に攻撃者は、特権を用いた永続的なサービス拒否攻撃を実行し、システムを繰り返しクラッシュさせることで使用不能にできるという。
Elastic EDR のゼロデイ脆弱性
この脆弱性の根本的な原因は、NULL ポインタ逆参照 (CWE-476) にある。Ashes Cybersecurity の調査によると、elastic-endpoint-driver.sys ドライバは、特権カーネル・ルーチン内でのメモリ操作を適切に処理していない。
そして、特定の条件下では、ユーザー・モードから制御可能なポインタが、十分に検証されない状態でカーネル関数に受け渡される。このポインタが NULL/解放済み/破損している場合には、カーネルはポインタの逆参照を試み、システム全体に Blue Screen of Death (BSOD) と呼ばれるクラッシュを引き起こすという。
研究者たちが実証したのは、この脆弱性が単なる理論上のバグではなく、再現性のあるエクスプロイトであることだ。C 言語ベースのローダーとカスタム・ドライバで構成される PoC エクスプロイトを用いて、制御条件下での脆弱性の悪用を証明している。
この PoC は、最初に EDR をバイパスして、カスタム・ドライバをロードし、再起動時にドライバがリロードされるよう永続性を確立した後に、脆弱な Elastic ドライバとのインタラクションによる BSOD を発生させる。
それにより、Elastic ドライバ自体を操作して、マルウェアのような挙動を可能にすることを証明している。
このゼロデイ脆弱性は、Elastic のセキュリティ製品を利用する企業に深刻な影響を及ぼす。Elastic の SIEM/EDR ソリューションを利用する組織は、リモートからの悪用により、大規模なエンドポイントの無効化の可能性を抱えている。
また、信頼され署名されたカーネル・ドライバが、永続的な特権攻撃に悪用される恐れがあるため、この状況は深刻なリスクを生み出す。
この脆弱性に対する調査は 2025年6月2日に開始され、その結果については 6月11日に HackerOne を通じて、7月29日に Zero Day Initiative (ZDI) を通じて、情報の開示が試みられた。その後の、2025年8月16日には、Ashes Cybersecurity による情報開示が行われている。
影響を受ける製品は、elastic-endpoint-driver.sys のバージョン 8.17.6 であるが、パッチが未提供のため、それ以降のバージョンも脆弱性を有していると考えられる。
研究者たちによると、この脆弱性はユーザー・モードのテスト運用中に発見されたとのことだ。また、Ashes Cybersecurity は Elastic の契約ユーザーでもある。
研究者たちは、「命令に従い、システムをクラッシュさせ、機能を停止/無効化する防御システムは、マルウェアと区別がつかない」と述べている。
パッチが提供されるまで、Elastic ユーザーはアクティブなゼロデイ脅威に晒され続ける。このインシデントは、Elastic だけの問題ではなく、セキュリティ業界全体の信頼低下を招くと、Ashes Cybersecurity は強調している。
EDR 自体が狙われ、防御の要が武器化されるという、とても恐ろしい状況が生じているようです。今回の Elastic の脆弱性は、カーネル・ドライバがメモリ操作を正しく処理できず、NULL ポインタ逆参照が起きることが原因とのことです。研究者たちは、この欠陥を突いて EDR を無効化し、カスタム・ローダーやカーネル・ドライバを使って永続的に侵害できる流れを示しています。ご利用のチームは、十分に ご注意ください。よろしければ、Elastic で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.